全4084文字
攻撃の発覚を避けようと工夫する最近のマルウエア。それに対抗するEDRは、端末の多様な情報を収集・解析。攻撃のわずかな痕跡や振る舞いも見逃さない――。その仕組みを解剖する。
最近のマルウエアは非常に高度な手法を使ってパソコンへの攻撃を隠し、発覚を避けようとしている。マルウエア本体を小型化し、感染先の端末に元からある正規のプログラムを流用するなど、隠蔽の手口は洗練される一方だ。
その代表例が2019年末から日本に甚大な被害をもたらした「エモテット(Emotet)」だ。このマルウエアはOfficeファイルのマクロを使ってパソコンに感染する。マクロがWindows標準搭載のコマンドラインツール「PowerShell」を起動し、PowerShellコマンドによってEmotet本体をメモリー上にダウンロードして実行する。パソコンのハードディスクにはマルウエアの実行に必要な最低限のファイルしか置かないため、ファイルを分析する従来のウイルス対策ソフトで検知するのは困難だ。
2020年6月にホンダを襲ったとされるランサムウエア「Ekans」の仕組みも高度だ。本来の攻撃であるファイルの暗号化に先立ち、Windowsが備えるネットワーク設定ツールを使って正規のファイアウオールの設定を変え、端末の通信を妨害していた。これも攻撃の発覚を遅らせる仕組みだ。
たゆまぬ“研究”の形跡が見られる現代のサイバー攻撃。対抗するには「被害に遭った端末を速やかに発見して対処するのに尽きる」。アクセンチュアでユーザー企業のセキュリティー監視チームなどを支援する、テクノロジーコンサルティング本部セキュリティグループの坂根康之マネジング・ディレクターはこう指摘する。
